Aktualisierte Leitlinien des EDSA zur Meldung von Datenschutzverletzungen: Was Unternehmen jetzt dringend beachten müssen

Wir berichteten bereits im November 2022 von den neuen Leitlinien für die Meldung von Datenschutzverletzungen des Europäischen Datenschutzausschusses (EDSA) (siehe hierzu unseren Webseitenbeitrag). Nachdem nunmehr das öffentliche Konsultationsverfahren durchgeführt wurde, hat der EDSA am 4. April 2023 seine aktualisierten Leitlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Was die aktualisierten Leitlinien für Unternehmen konkret bedeuten und was Unternehmen ab sofort zwingend berücksichtigen sollten, erfahren Sie hier.

Hintergrund

Unternehmen, welche nicht in der EU niedergelassen sind, aber nach Art. 3 DS-GVO dennoch in den Anwendungsbereich der DS-GVO fallen, mussten bisher etwaige Datenschutzverletzungen in dem Mitgliedsstaat melden, in dem der Vertreter des verantwortlichen Unternehmens in der EU seine Niederlassung hatte („One-Stop-Shop“-Prinzip).

Neue Regelung

In seinen neuen Leitlinien hat der EDSA nunmehr klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das „One-Stop-Shop“-Prinzip auslöst. Vielmehr müssen daher betroffene Unternehmen ab sofort Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, bei sämtlichen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten melden.

Handlungsempfehlungen für Unternehmen

Da Datenschutzverletzungen unverzüglich und möglichst binnen 72 Stunden nach Bekanntgabe der Verletzung gemeldet werden müssen, kann dies Unternehmen vor große Herausforderungen stellen. Die neuen Leitlinien erhöhen diesen Druck zusätzlich, da die Meldung von Datenschutzverletzungen an sämtliche zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten erfolgen muss und dies zu einem enormen Aufwand führen kann. Um die datenschutzrechtlichen Vorgaben im Unternehmen erfüllen zu können ist es umso wichtiger, rechtzeitig entsprechende Richtlinien und Prozesse im Unternehmen zu implementieren, welche eine einheitliche und geregelte Vorgehensweise für Datenschutzverletzungen festhalten und den Anforderungen der europäischen Aufsichtsbehörden entsprechen.

Eine organisierte Notfallplanung und ein praxisgerechtes Data Breach Management bilden das Fundament für die wirksame Prävention von Unternehmen, um aufsichtsbehördliche Maßnahmen, Bußgelder sowie ggf. Schadensersatzansprüche Betroffener vorzubeugen. Die sorgfältige Umsetzung der Melde- und Benachrichtigungspflichten ist in datenschutzrechtlicher Hinsicht von sehr hoher Relevanz. Verstöße können unter anderem zu Bußgeldern für Unternehmen führen. Vor diesem Hintergrund sollten Unternehmen dringend ihre internen Prozesse und Richtlinien in Bezug auf den Umgang von Datenschutzvorfällen überprüfen und diese einer sorgfältigen Revision unterziehen, um eine ordnungsgenmäße und fristgemäße Meldung von Datenschutzverletzungen zu gewährleisten.

Sollten Sie hierbei Fragen haben oder Unterstützung bei der Implementierung oder der Überarbeitung Ihres bisherigen Data Breach Managements haben, kommen Sie gerne auf uns zu. Wir beraten regelmäßig Unternehmen jeder Größenordnung bei grenzüberschreitenden Datenschutzvorfällen und helfen Ihnen gerne weiter.